Сотрудник Apple не смог сразу сообщить Google об уязвимости Chrome нулевого дня

Уязвимость “нулевого дня” – это дефект программного обеспечения. Он бывает неизвестен разработчику или поставщику до того, как они получили о нем уведомление; это означает, что у них было “ноль дней” на его устранение. Обычно компания, обнаружившая уязвимость “нулевого дня”, сообщает об этом разработчику или поставщику. Даже если они работают в конкурирующей компании. Почему? Потому что это помогает остановить злонамеренного хакера и помогает навести порядок в отрасли. А также потому, что компания никогда не знает, когда она может оказаться по другую сторону такой ситуации.

Обнаружение и продажа таких уязвимостей на черном рынке или использование их для кибератак является проблемой в области кибербезопасности. Поэтому обнаружение и исправление уязвимостей “нулевого дня” является критически важной задачей для обеспечения безопасности программного обеспечения и защиты пользователей от возможных киберугроз.

Ближе к делу

Пару дней назад, как сообщает 9to5Mac, один из сотрудников Apple наткнулся на невидимую уязвимость в браузере Google Chrome, но не сразу сообщил об этом компании Google. Говоря о выпущенном компанией Google патче для браузера Chrome, устраняющем дефект «нулевого дня», в Google подчеркнули, что проблема была обнаружена в ходе хакерского конкурса «Захват флага» (CTF) в марте. На данный момент Google устранила дефект, но не может быть благодарна компании Apple за то, что та обратила внимание на проблему.

О том, что Google знает о проблеме нулевого дня безопасности, затрагивающей веб-браузер Chrome, первоначально сообщил один из сотрудников компании в своем блоге (по материалам TechCrunch). В своем блоге сотрудник Google сообщил, что об уязвимости “нулевого дня”   26 марта сообщил участник CTF под ником sisu из команды HXP CTF, но раскрыта она была членом команды “Проектирование и архитектура систем безопасности Apple” (SEAR) в ходе HXP CTF 2022.

Почему не сообщили?

TechCrunch в конце концов нашел канал Discord, где некто, представившийся работником Apple по имени Галлилео, опубликовал сообщение об обнаруженной им уязвимости. 6 июля Галлилео написал о том, что в течение двух недель он работал над поиском причины, разработкой эксплойта и объяснением проблемы с целью ее устранения.

Далее он сообщил, что уведомление о дефекте “…было получено 5 июня через мою компанию. Да, это было поздно, и тому есть несколько причин. Сначала мне нужно было найти ответственного, отчет должен был быть подписан людьми, а затем ответственный был в отъезде”. Похвально, что Chrome решил исправить ситуацию как можно скорее, но я думаю, что реальной срочности не было. О проблеме знали только вы и моя команда, а в реальных условиях она, скорее всего, не так велика (не работает на Android, что довольно заметно, так как это замораживает пользовательский интерфейс Chrome на несколько секунд).

Оригинальный отчет, как отмечалось, был датирован 26 марта, и Google решил вознаградить человека, который обратил на это внимание, “наградой за нахождение ошибки” в размере 10 000 долларов. Кто говорит, что быть искателем ошибок не выгодно? Кроме того, нередко дефекты обнаруживаются во время хакерских соревнований “Захват флага”.